A presente Adenda relativa ao Processamento de Dados pelo Revendedor («APD») constitui parte integrante do Contrato celebrado entre a GoDaddy.com, LLC (incluindo as respetivas entidades afiliadas, caso estejam previstas no Contrato) («GoDaddy») e o utilizador («Revendedor») para efeitos da venda de produtos e serviços da GoDaddy («Serviços») através do Programa para Revendedores da GoDaddy e regulará o processamento de quaisquer Informações Pessoais pelo Revendedor em nome da GoDaddy. O Revendedor celebra a presente APD por sua própria conta e, na medida do exigido pela legislação e regulamentos em matéria de proteção de dados, em nome e por conta dos respetivos afiliados autorizados. Todos os termos com inicial maiúscula não definidos pelo presente ato terão o significado estabelecido no Contrato. Os termos «nós» (implícito ou explícito) e «nosso/nossa/nossos/nossas» referem-se à GoDaddy. Os termos «Utilizador», «seu/sua/seus/suas» ou «Revendedor» referem-se a qualquer indivíduo ou entidade que aceite o presente Contrato. Nenhum conteúdo do presente Contrato deve ser interpretado como atribuindo qualquer direito ou benefício de terceiros. A presente APD entra em vigor e é vinculativa a partir da data da sua aceitação eletrónica.

A presente APD é composta por duas (2) partes distintas, aplicáveis da forma descrita abaixo:

• Requisitos, normas de segurança e privacidade dos dados: Aplicação dos requisitos, das normas de segurança e da privacidade dos dados. Aplicável a todos os Revendedores que tenham acesso e processem informações de identificação pessoal (nos termos aqui definidos) no âmbito e natureza da respetiva participação no Programa para Revendedores.
• Cláusulas Contratuais Padrão (e respetivos Apêndices 1 e 2): Aplicação das Cláusulas Contratuais Padrão. As Cláusulas Contratuais Padrão aplicar-se-ão aos Dados do Cliente que sejam transferidos para fora do Espaço Económico Europeu, seja diretamente, seja através de transferência a partir daí, para qualquer país que não seja reconhecido pela União Europeia como fornecendo um nível de proteção adequado dos dados pessoais (conforme descrito no RGPD). As Cláusulas Contratuais Padrão não se aplicarão aos Dados do Cliente que não sejam transferidos, seja diretamente, seja através de transferência a partir daí, para fora do EEE. Não obstante o precedente, as Cláusulas Contratuais Padrão não se aplicarão sempre que os dados forem transferidos de acordo com uma norma de conformidade reconhecida para a transferência lícita de dados pessoais (conforme definido no RGPD) para fora do Espaço Económico Europeu, tais como as Estruturas do Escudo de Proteção da Privacidade UE-EUA e Suíça-EUA.

1. Objeto e âmbito

O presente SLA de Segurança e Privacidade dos Dados (“SLA de Segurança”) é anexado e integrado no Contrato para efeitos de assegurar que quaisquer informações de identificação pessoal (nos termos definidos abaixo) recolhidas ou utilizadas pelo Utilizador são tratadas de um modo seguro e em conformidade com os termos do Contrato, do presente SLA de Segurança e da legislação e regulamentos aplicáveis.

2. Ordem de prioridade.

O presente SLA de Segurança é integrado e faz parte do Contrato. Relativamente a assuntos não abordados no presente SLA de Segurança, aplicam-se os termos do Contrato. Relativamente aos direitos e obrigações das partes entre si, em caso de conflito entre os termos do Contrato e do SLA de Segurança, aplicam-se os termos do presente SLA de Segurança. Em caso de conflito entre os termos do SLA de Segurança e as Cláusulas Contratuais-tipo, prevalecem as Cláusulas Contratuais-tipo.

3. Informações Pessoais.

1. O termo «informações de identificação pessoal» ou «informações pessoais» designa as informações em qualquer tipo de suporte ou forma relativas a uma pessoa singular ou família identificada ou identificável; uma pessoa singular identificável é uma pessoa que pode ser identificada, direta ou indiretamente, nomeadamente por referência a um elemento identificador, tal como um nome, morada, número de segurança social ou outro número de identificação, endereço de email, número de telefone, perfil financeiro, informação de cartão de crédito, número de carta de condução, ou outra informação que, em termos razoáveis, possa ser associada a uma determinada pessoa, computador ou dispositivo (por exemplo, informações recolhidas através de tecnologias de localização, tais como o endereço de IP) ou a um ou mais fatores específicos da identidade física, psicológica, genética, mental, económica, cultura ou social dessa pessoa.

2. No âmbito desta APD, o processamento irá incluir a recolha, gravação, organização, estruturação, armazenamento, adaptação ou alteração, obtenção, consulta, utilização, divulgação, disseminação ou disponibilização, combinação, restrição, eliminação ou destruição de IIP.
3. A GoDaddy divulga IIP ao Utilizador apenas e exclusivamente para a respetiva prestação dos Serviços em nome da GoDaddy e o Utilizador apenas poderá processar as IIP para os fins limitados e específicos descritos no Contrato e de acordo com as nossas instruções por escrito, excluindo-se qualquer outra finalidade, incluindo transferências de IIP de indivíduos residentes na UE para fora da União Europeia, a menos que tal seja exigido pela legislação da União Europeia ou de um dos respetivos Estados-membros (nesse caso, terá de nos notificar imediatamente antes de o fazer, a menos que a lei o proíba de nos informar).
4. Está proibido de: (i) vender IIP; (ii) reter, utilizar ou divulgar IIP para um fim comercial que não seja o fornecimento dos Serviços; e (iii) reter, utilizar ou divulgar IIP fora do âmbito do Contrato entre o Utilizador e a GoDaddy.

5. O Utilizador reconhece e confirma que não são divulgadas informações de identificação pessoal como consideração por quaisquer Serviços que sejam prestados à GoDaddy ao abrigo do Contrato. O Utilizador não pode vender quaisquer informações de identificação pessoal, de acordo com a definição do termo «vender» especificada na Lei de Privacidade dos Consumidores da Califórnia de 2018, conforme revista («CCPA»), e certifica pelo presente que compreende as regras, os requisitos e as definições da CCPA, bem como todas as restrições na presente APD. O Utilizador concorda em abster-se de realizar qualquer ação que possa fazer com que transferências de informações de identificação pessoal para ou de si sejam qualificadas como «vender informações pessoais» ao abrigo da CCPA e de quaisquer outras leis aplicáveis.
6. Apenas poderá transferir IIP relacionadas com indivíduos residentes na UE para fora da UE (ou, se essas IIP já se encontrarem fora da UE, para qualquer terceiro também fora da UE), em conformidade com os termos desta APD e os requisitos dos Artigos 44.º a 49.º do RGPD (conforme definido abaixo).
7. Tem de nos notificar imediatamente se, na sua opinião, a nossa instrução infringir quaisquer leis e regulamentos de proteção de dados aplicáveis, incluindo a Lei de Proteção de Dados da UE (conforme definida abaixo), através do endereço privacy@godaddy.com.

8. Tem de tratar todas as IIP como estritamente confidenciais e informar todos os respetivos colaboradores ou agentes aprovados que participem no processamento das IIP sobre a natureza confidencial das IIP e garantir que essas pessoas ou entidades assinaram um contrato de confidencialidade apropriado para manter a confiança das IIP.
9. Na medida em que receba, mantenha, processe ou tenha acesso a IIP no âmbito do Programa para Revendedores ao abrigo do Contrato, reconhece e concorda que é responsável por tomar medidas organizacionais e de segurança apropriadas para proteger essas IIP. O Utilizador fica obrigado a proteger e manter seguras essas informações de identificação pessoal em conformidade com toda a legislação aplicável em matéria de privacidade e proteção de dados, incluindo, entre outros, o Regulamento (UE) n.º 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao processamento de dados pessoais e à livre circulação desses dados (o «Regulamento Geral sobre a Proteção de Dados» ou «RGPD»), bem como toda a legislação ou regulamentos associados dos Estados-Membros da União Europeia (em conjunto, a «Legislação da UE em matéria de proteção de dados») e a CCPA.

10. As medidas organizacionais e de segurança apropriadas mencionadas na Secção 3.7 incluirão, conforme apropriado e sem carácter limitativo:
    1. As medidas listadas abaixo nas Secções 3 e 4;
    2. Medidas para assegurar que apenas os indivíduos autorizados para os fins descritos no Contrato podem aceder às IIP;
    3. A pseudonimização e encriptação das IIP;
    4. A capacidade de garantir uma confidencialidade, integridade, disponibilidade e resiliência continuada dos seus sistemas e serviços de processamento;
    5. A capacidade de restaurar a disponibilidade e o acesso a IIP de uma forma atempada;
    6. Um processo para testar, analisar e avaliar regularmente a eficácia de medidas técnicas e organizacionais para garantir a segurança do processamento das IIP; e
    7. Medidas para identificar vulnerabilidades no que diz respeito ao processamento das IIP nos seus sistemas.
11. Na medida em que o Utilizador recorra a qualquer subcontratado, fornecedor ou outro terceiro para facilitar o respetivo desempenho ao abrigo do Contrato, o Utilizador tem de (i) obter um consentimento prévio por escrito da nossa parte; e (ii) celebrar um contrato por escrito com esse terceiro para garantir que o mesmo também cumpre os termos desta APD e do Contrato.

12. Não obstante qualquer autorização que forneçamos em conformidade com a Secção 1.11, o utilizador permanecerá totalmente responsável pelas ações de qualquer subcontratado, fornecedor ou outro terceiro se essa parte não cumprir as respetivas obrigações ao abrigo desta APD (ou disposição contratual semelhante posta em prática para impor obrigações ao terceiro equivalentes às incumbidas ao utilizador ao abrigo desta APD) ou ao abrigo das leis de privacidade aplicáveis.
13. O utilizador irá, a suas próprias custas, defender, indemnizar e proteger-nos contra qualquer responsabilidade, custo e perda no âmbito de qualquer indisponibilidade, perda, destruição, divulgação ou acesso não autorizado, roubo, ou comprometimento temporário ou permanente, acidental ou ilegítimo, de IIP, qualquer outra violação da legislação de proteção de dados aplicável e qualquer violação desta APD.
14. No caso de tomar conhecimento que recebeu as nossas Informações Confidenciais ou IIP que não fosse pretendido serem recebidas (ou autorizadas a ser recebidas) por si ao abrigo deste Contrato, tem de (i) notificar-nos imediatamente através do endereço privacy@godaddy.com e, (ii) salvo instruído por escrito em contrário, reter as informações até receber uma mensagem do endereço privacy@godaddy.com com instruções sobre o que efetuar com essas informações.

4. Avaliações de impacto e Auditorias de segurança

1. Avaliações do impacto da proteção de dados. O Utilizador fica obrigado a prestar-nos assistência na realização de avaliações de impacto da proteção de dados e minimizar quaisquer riscos de privacidade ou segurança relacionados com o Programa para Revendedores nos termos do Contrato.
2. Auditorias periódicas. Reservamo-nos o direito de auditar periodicamente (ou solicitar a um terceiro, de acordo com as nossas instruções, a auditoria de) o seu cumprimento da presente APD.
3. Auditoria após um incidente. Caso ocorra uma violação de segurança de um Revendedor, poderemos realizar uma auditoria de segurança para assegurar que nenhumas informações de identificação pessoal foram afetadas. O Utilizador terá 90 dias para responder a quaisquer questões identificadas pela auditoria. Uma vez resolvidas as questões identificadas, poderemos efetuar uma auditoria de segurança para assegurar a conclusão da resolução.
4. Notificação de incumprimento. Caso o utilizador não consiga cumprir, por qualquer motivo, algum dos compromissos constantes na presente APD, deverá notificar-nos de imediato desse facto. Nesse caso, deverá informar-nos se é capaz de sanar qualquer problema rapidamente e sem prejudicar a segurança de quaisquer informações de identificação pessoal. Caso contrário, poderemos optar por cessar o Contrato sem demora, sanção ou qualquer outra responsabilidade para o utilizador.

5. Resposta a incidentes de segurança

1. Prazo das notificações. O Utilizador fica obrigado a comunicar-nos qualquer incidente de segurança relacionado com os seus serviços e/ou informações de identificação pessoal imediatamente após a descoberta do mesmo e fornecer-nos-á de imediato informações quanto a qualquer impacto que este incidente possa ter/terá em nós ou nas informações de identificação pessoal. O Utilizador envidará todos os seus esforços para nos notificar do incidente de segurança imediatamente após a deteção desse incidente, mas, em qualquer caso, deverá fazê-lo no prazo máximo de uma hora após detetar o incidente. No âmbito desta APD, um incidente também irá incluir:
   1. Uma reclamação ou um pedido relativamente ao exercício dos direitos de um indivíduo ao abrigo das leis aplicáveis, incluindo a Lei de Proteção de Dados da UE;
   2. Uma investigação ou apreensão de IIP por parte de agentes governamentais, uma entidade reguladora ou de aplicação da lei, ou indicações que essa investigação ou apreensão é contemplada;
   3. Qualquer indisponibilidade, perda, destruição, divulgação ou acesso não autorizado, roubo, ou comprometimento temporário ou permanente, acidental ou ilegítimo, de IIP; e
   4. Qualquer violação das obrigações de segurança e/ou confidencialidade estabelecidas nesta APD.
2. Formato e conteúdo das notificações. A notificação de uma violação de segurança assumirá a forma de uma chamada telefónica para o nosso Centro de Operações de Rede através do número (480) 505-8809, seguida de uma notificação escrita enviada para securitybreach@godaddy.com. O utilizador tem de fornecer as seguintes informações durante a chamada telefónica de notificação e no aviso por escrito da forma mais completa possível e com informações atualizadas, à medida que ficam disponíveis informações adicionais:
   1. Uma descrição da natureza do incidente e das consequências prováveis do mesmo;
   2. O tempo de resolução esperado (caso seja conhecido);
   3. Uma descrição das medidas tomadas ou propostas para resolver o incidente, incluindo medidas para mitigar os respetivos possíveis efeitos adversos na nossa empresa, nas IIP ou nos indivíduos associados;
   4. Se o caminho de resolução for desconhecido aquando da chamada telefónica, tem de clarificar que o mesmo ainda é indeterminado;
   5. As categorias e o volume aproximado de IIP e de indivíduos potencialmente afetados pelo incidente, bem como as consequências prováveis do incidente nessas IIP e nos indivíduos associados; e
   6. O nome e número de telefone de um representante do Revendedor que possamos contactar para obter informações atualizadas sobre o incidente.
3. Recursos de segurança. Mediante acordo estabelecido consigo, poderemos fornecer recursos do nosso grupo de segurança para prestar apoio no âmbito de uma violação de segurança identificada. O Utilizador concorda em prestar-nos assistência através do cumprimento das suas obrigações relativamente à notificação de uma violação de segurança nos termos da Legislação da UE em matéria de proteção de dados, ou de quaisquer outras obrigações de notificação de uma violação legal, regulamentar, administrativa ou contratual.

6. Criptografia

1. Encriptação exclusiva. As transações seguras entre o utilizador e o subcontratado, fornecedor ou outro terceiro, bem como o armazenamento das nossas Informações Confidenciais ou informações de identificação pessoal não poderão utilizar quaisquer algoritmos de criptografia desenvolvidos internamente por si. Qualquer algoritmo simétrico, assimétrico ou de controlo utilizado pela infraestrutura do aplicativo utilizará algoritmos que tenham sido publicados e avaliados pela comunidade criptográfica geral.
2. Segurança da encriptação. Os algoritmos de encriptação deverão ser de tecnologia padrão atual do sector e ter uma segurança suficiente, como, por exemplo, a norma AES. Encriptação de chave pública SHA-256 ou RSA.
3. Funções de controlo. As funções de controlo serão uma conjugação de SHA-256 e (de forma individual ou combinada) MD-5, SHA-2, SHA-3 ou similar, não incluindo SHA-1. Caso sejam utilizadas funções de controlo alternativas, têm de ter aprovação expressa da nossa Equipa de Segurança de Informações e deverão ser acompanhadas por, pelo menos, um algoritmo aprovado.

7. Processar IIP

1. Cumprimento da lei. Na medida do aplicável, o utilizador prestar-nos-á apoio nas nossas obrigações para responder aos pedidos de um indivíduo cujas informações de identificação pessoal estejam a ser processadas nos termos do presente Contrato e que pretenda exercer algum dos respetivos direitos ao abrigo da Legislação da UE em matéria de proteção de dados, incluindo (entre outros): (i) direito de acesso, (ii) direito à portabilidade dos dados, (iii) direito ao apagamento, (iv) direito de retificação, (v) direito de oposição a processos de decisão automáticos, ou (vi) direito de oposição ao processamento.
2. Eliminação/destruição. O Utilizador deverá eliminar/destruir de forma segura ou devolver todas as informações de identificação pessoal e apagar todos os discos físicos utilizados para o respetivo armazenamento utilizando uma eliminação criptográfica (NIST SP-800-88r1) ou um método equivalente, a qualquer momento em que tal lhe seja solicitado da nossa parte ou, caso não exista tal pedido, após a cessação do Contrato, bem como destruir ou devolver-nos quaisquer cópias existentes das mesmas.

Para os fins do número 2 do Artigo 26.º da Diretiva 95/46/CE relativa à transferência de dados pessoais para processadores estabelecidos em países terceiros que não assegurem um nível adequado de proteção de dados

exportador de dados: GoDaddy.com, LLC e as respetivas entidades afiliadas

e

importador de dados: o Revendedor designado que participou no Programa para Revendedores sujeito aos termos do Contrato.

em separado, uma «parte»; em conjunto, «as partes»,

ACORDARAM as Cláusulas Contratuais seguintes (as Cláusulas) de modo a apresentarem garantias adequadas relativas à proteção da privacidade e dos direitos e liberdades fundamentais dos indivíduos para a transferência por parte do exportador de dados para o importador de dados dos dados pessoais especificados no Anexo 1.

Para as finalidades das Cláusulas:

(a) "dados pessoais", "categorias especiais de dados", "tratar/tratamento", "responsável pelo tratamento", "subcontratante", "titular dos dados" e "autoridade de controlo" terão o mesmo significado que na Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados;

(b) "o exportador de dados" significa o responsável pelo tratamento que transfere os dados pessoais;

(c) "o importador dos dados" significa o subcontratante que concorda receber do exportador de dados os dados pessoais destinados a serem tratados em seu nome após a transferência e de acordo com as respetivas instruções e os termos das Cláusulas e que não está sujeito ao sistema de um país terceiro que assegure a proteção adequada no âmbito do número 1 do Artigo 25º da Diretiva 95/46/CE do Parlamento Europeu e do Conselho;

(d) o "subcontratante" significa qualquer subcontratante contratado pelo importador de dados ou por qualquer outro subcontratante do importador de dados que concorde receber do importador de dados ou de qualquer outro subcontratante do importador de dados pessoais destinados exclusivamente a atividades de tratamento a serem executadas em nome do exportador de dados após a transferência em conformidade com as respetivas instruções, os termos das Cláusulas e os termos do subcontrato escrito;

(e) "a lei de proteção de dados aplicável" significa a legislação que protege os direitos e liberdades fundamentais dos indivíduos, em particular o seu direito à privacidade relativamente ao tratamento de dados pessoais aplicável a um responsável pelo tratamento de dados no Estado-Membro em que o exportador de dados esteja estabelecido;

(f) “medidas de segurança técnica e organizacional” significa as medidas destinadas a proteger os dados pessoais de destruição acidental ou ilícita, alteração, divulgação ou acesso não autorizados, em particular quando o tratamento envolver a transmissão de dados através de uma rede, e de todas as outras formas ilícitas de tratamento.

Os detalhes da transferência e em particular as categorias especiais de dados pessoais sempre que aplicável são especificadas no Apêndice 1 que constitui uma parte integral das Cláusulas.

1. O titular dos dados pode invocar contra o exportador de dados a presente Cláusula, as alíneas (b) a (i) da Cláusula 4, as alíneas (a) a (e) da Cláusula 5 e (g) a (j), o parágrafos 1 e 2 da Cláusula 6, a Cláusula 7, o parágrafo 2 da Cláusula 8 e as Cláusulas 9 a 12 na qualidade de terceiro beneficiário.

2. O titular dos dados pode invocar contra o importador dos dados esta Cláusula, as alíneas (a) a (e) e (g) da Cláusula 5, a Cláusula 6, a Cláusula 7, o parágrafo 2 da Cláusula 8 e as Cláusulas 9 a 12, nos casos em que o exportador de dados tenha desaparecido de facto ou tenha sido legalmente extinto, salvo se qualquer entidade sucessora tiver assumido a totalidade das obrigações legais do exportador de dados mediante contrato ou por força da lei, decorrendo daí a respetiva assunção dos direitos e obrigações do exportador de dados, caso em que o titular dos dados pode invocar os seus direitos contra essa entidade.

3. O titular dos dados pode invocar contra o subcontratante esta Cláusula, as alíneas (a) a (e) e (g) da Cláusula 5, a Cláusula 6, a Cláusula 7, o parágrafo 2 da Cláusula 8 e as Cláusulas 9 a 12, nos casos em que tanto o exportador de dados como o importador de dados tenham desaparecido de facto ou tenham sido legalmente extintos, salvo se qualquer entidade sucessora tiver assumido a totalidade das obrigações legais do exportador de dados mediante contrato ou por força da lei, decorrendo daí a respetiva assunção dos direitos e obrigações do exportador de dados, caso em que o titular dos dados pode invocar os seus direitos contra essa entidade. Essa responsabilidade perante terceiros do subcontratante estará limitada às suas próprias operações de processamento nos termos das Cláusulas.

4. As partes não se opõem a que um titular de dados seja representado por uma associação ou outro organismo, se o titular de dados assim o desejar expressamente e se permitido pelas leis nacionais.

O exportador de dados concorda e garante que:

(a) que o processamento, incluindo a própria transferência, dos dados pessoais foi e continuará a ser executado em conformidade com as disposições relevantes da lei de proteção de dados aplicável (e, quando aplicável, foi notificado às entidades relevantes do Estado-Membro no qual o exportador de dados se encontra estabelecido) e não viola as disposições relevantes de tal Estado;

(b) que instruiu e que durante o período dos serviços de processamento de dados pessoais instruirá o importador de dados no sentido de processar os dados pessoais transferidos apenas em nome do exportador de dados e de acordo com a lei de proteção de dados aplicável e com as Cláusulas;

(c) que o importador de dados fornecerá garantias suficientes relativamente às medidas de segurança técnicas e organizacionais especificadas no Apêndice 2 ao presente contrato;

(d) que após a avaliação dos requisitos da lei de proteção de dados aplicável, as medidas de segurança sejam apropriadas para proteger os dados pessoais de destruição acidental ou ilícita ou de perda acidental, alteração, divulgação ou acesso não autorizados, em particular quando o processamento envolver a transmissão de dados através de uma rede, e de todas as outras formas ilícitas de processamento, e que estas medidas assegurem um nível de segurança adequado aos riscos representados pelo processamento e a natureza dos dados a proteger relativamente ao estado da arte e ao custo da respetiva implementação;

(e) que assegurará a conformidade com as medidas de segurança;

Que, se a transferência envolver categorias de dados especiais, o titular dos dados foi informado ou será informado antes da, ou tão breve quanto possível após a, transferência de que os respetivos dados podem ser transmitidos para um país terceiro que não disponibilize proteção adequada no âmbito da Diretiva 95/46/CE do Parlamento Europeu e do Conselho;

(g) encaminhar qualquer notificação recebida do importador de dados ou de qualquer nos termos da alínea (b) da Cláusula 5 e do número 3 da Cláusula 8 para a autoridade de supervisão dos dados pessoais se o exportador de dados decidir continuar com a transferência ou anular a suspensão;

(h) disponibilizar aos titulares dos dados, a pedido, uma cópia das Cláusulas, com a exceção do Apêndice 2, bem como uma descrição abreviada das medidas de segurança, assim como uma cópia de qualquer contrato de serviços de subprocessamento que tenha celebrado nos termos das Cláusulas, salvo se as Cláusulas ou o contrato contiverem informações comerciais, situação em que está autorizada a eliminar tais informações comerciais;

(i) que, na eventualidade de subprocessamento, a atividade de processamento é executada em conformidade com a Cláusula 11 por um subcontratante que forneça pelo menos o mesmo nível de proteção para os dados pessoais e os direitos dos titulares dos dados que o importador de dados nos termos das Cláusulas; e

(j) que assegurará a conformidade com as alíneas (a) a (i) da Cláusula 4.

O importador de dados concorda e garante que:

(a) processar os dados pessoais apenas em nome do exportador de dados e em conformidade com as instruções e as Cláusulas; se não conseguir cumprir com tal conformidade seja por que motivos por, concorda informar prontamente o exportador de dados da respetiva incapacidade de cumprir, caso em que o exportador de dados tem o direito de suspender a transferência de dados e/ou de cancelar o contrato;

(b) que não tem qualquer motivo para acreditar que a legislação aplicável o impeça de cumprir as instruções recebidas do exportador de dados e as respetivas obrigações nos termos do contrato e que na eventualidade de uma alteração a esta legislação que possa ter um efeito adverso substancial nas garantias e obrigações conferidas pelas Cláusulas, notificará prontamente o exportador de dados de tal alteração, assim que dela tiver conhecimento, tendo neste caso o exportador de dados o direito de suspender a transferência de dados e/ou de rescindir o contrato;

(c) que implementou as medidas técnicas e de segurança especificadas no Apêndice antes de processar os dados pessoais transferidos;

(d) que notificará prontamente o exportador de dados de:

(i) qualquer pedido juridicamente vinculativo de divulgação dos dados pessoais por parte de uma autoridade competente para a aplicação da lei, a não ser que exista uma proibição em contrário, como uma proibição prevista no direito penal para preservar a confidencialidade de uma investigação policial,

(ii) quaisquer acessos acidentais ou não autorizados, e

(iii) qualquer pedido recebido diretamente dos titulares dos dados sem responder a tal pedido, salvo autorização em contrário;

(e) lidar pronta e devidamente com todas as perguntas do exportador de dados relacionadas com o respetivo processamento dos dados pessoais sujeitos à transferência e cumprir os conselhos da autoridade de supervisão relativamente ao processamento dos dados transferidos;

(f) a pedido do exportador de dados para que as respetivas instalações de processamento de dados sejam submetidas a auditoria das atividades de processamento abrangidas pelas Cláusulas que serão executadas pelo exportador de dados ou um organismo de inspeção composto por membros independentes e em posse das qualificações profissionais requeridas vinculados por um dever de confidencialidade, selecionado pelo exportador de dados, conforme aplicável, de acordo com a autoridade de supervisão;

(h) disponibilizar aos titulares dos dados, a pedido, uma cópia das Cláusulas ou de qualquer contrato de subprocessamento existente, salvo se as Cláusulas ou o contrato contiverem informações comerciais, situação em que está autorizada a eliminar tais informações comerciais, com a exceção do Apêndice 2 que será substituído por uma descrição abreviada das medidas de segurança nos casos em que o titular dos dados não consiga obter uma cópia junto do exportador dos dados;

(h) que, na eventualidade de subprocessamento, informou previamente o exportador de dados e obteve o respetivo consentimento por escrito;

(i) que os serviços de processamento por parte do subcontratante serão executados nos termos da Cláusula 11;

(j) enviar prontamente uma cópia de qualquer acordo que o subcontratante celebre com o exportador de dados nos termos das Cláusulas.

(k) a expensas próprias, defenderá, indemnizará e desresponsabilizará o exportador de dados relativamente a toda e qualquer perda, divulgação não autorizada, furto ou comprometimento de dados pessoais, bem como em relação a qualquer outra violação da legislação aplicável em matéria de proteção de dados pelo importador de dados ou a partir deste.

1. As partes concordam que qualquer titular de dados que tenha sofrido danos como consequência de qualquer violação das obrigações mencionadas nas Cláusulas 3 ou 11 por qualquer parte ou subcontratante tem o direito de receber uma indemnização por parte do exportador de dados pelos danos sofridos.

2. Se não for possível a um titular de dados intentar uma ação de reparação de acordo com o parágrafo 1 contra o exportador de dados na sequência de um incumprimento por parte do importador de dados ou do respetivo subcontratante de quaisquer das respetivas obrigações mencionadas nas Cláusulas 3 ou 11, por o exportador de dados ter desaparecido de facto ou ter sido legalmente extinto ou se tenha tornado insolvente, o importador de dados concorda que o titular dos dados pode intentar uma ação de reparação contra o importador de dados como se fosse o exportador de dados, salvo se qualquer entidade sucessora tiver assumido a totalidade das obrigações legais do exportador de dados mediante contrato ou por força da lei, caso em que o titular dos dados pode invocar os seus direitos contra essa entidade.
   
   O importador de dados não pode basear-se numa violação das respetivas obrigações por parte de um subcontratante para se eximir às suas próprias responsabilidades.

3. Se não for possível a um titular de dados intentar uma ação judicial contra um exportador de dados ou se o importador de dados mencionado nos parágrafos 1 e 2, na sequência de um incumprimento por parte do subcontratante de quaisquer das respetivas obrigações mencionadas nas Cláusulas 3 ou 11 por tanto o exportador de dados como o importador de dados terem desaparecido de facto ou terem sido legalmente extintos ou se terem tornado insolventes, o subcontratante concorda que o titular dos dados pode intentar uma ação judicial contra o subcontratante de dados relativamente às suas próprias operações de processamento nos termos das Cláusulas, como se fosse o exportador de dados ou o importador de dados, salvo se qualquer entidade sucessora tiver assumido a totalidade das obrigações legais do exportador de dados ou do importador de dados mediante contrato ou por força da lei, caso em que o titular dos dados pode invocar os seus direitos contra essa entidade. A responsabilidade do subcontratante estará limitada às suas próprias operações de processamento nos termos das Cláusulas.

1. O importador de dados concorda que, se o titular dos dados invocar contra si direitos de terceiro beneficiário e/ou um pedido de indemnização por danos nos termos das Cláusulas, o importador de dados aceitará a decisão do titular dos dados:
   
   (a) submeter o litígio a mediação de uma pessoa independente ou, quando aplicável, da autoridade de controlo;
   
   (b) submeter o litígio aos tribunais do Estado-Membro em que o exportador de dados está estabelecido.

2. As partes acordam que a opção tomada pelo titular dos dados não prejudicará os respetivos direitos substantivos ou processuais de procurar obter reparação em conformidade com as restantes disposições das leis nacionais ou internacionais.

1. O exportador de dados concorda enviar uma cópia do presente contrato à autoridade de supervisão, se tal lhe for solicitado por tal autoridade ou se tal envio for requerido nos termos da lei de proteção de dados aplicável.

2. As partes acordam que a autoridade de supervisão detém o direito de realizar uma auditoria ao importador de dados, e a qualquer subcontratante, que tenha o mesmo âmbito e que esteja sujeito às mesmas condições que se aplicariam a uma auditoria ao exportador de dados no âmbito da lei de proteção de dados aplicável.

3. O importador de dados informará prontamente o exportador de dados da existência de legislação aplicável ao mesmo ou a qualquer subcontratante que impeça a realização de uma auditoria ao importador de dados ou a qualquer subcontratante, nos termos do parágrafo 2. Em tal eventualidade, o exportador terá o direito de tomar as medidas previstas na alínea (b) da Cláusula 5.

As Cláusulas reger-se-ão pelas leis do Estado-Membro em que o exportador de dados se encontra estabelecido, ou no caso de o exportador de dados estar estabelecido em várias jurisdições, reger-se-á pelas leis da Inglaterra e do País de Gales.

As partes comprometem-se a não fazer variar nem a alterar as Cláusulas. Isto não exclui a possibilidade de as partes adicionarem cláusulas relativas a questões relacionadas com o negócio sempre que necessário, desde que estas não contradigam as Cláusulas.

1. O importador de dados não subcontratará nenhuma das respetivas operações de processamento executadas em nome do exportador de dados nos termos das Cláusulas sem o consentimento prévio, por escrito, do exportador de dados. Sempre que o importador de dados subcontratar as respetivas obrigações nos termos das Cláusulas, com o consentimento do exportador de dados, fá-lo-á apenas por meio de um acordo escrito com o subcontratante que imponha ao subcontratante as mesmas obrigações que são impostas ao importador de dados nos termos das Cláusulas. Quando o subcontratante não cumprir as suas obrigações em matéria de proteção de dados nos termos de tal acordo escrito, o importador de dados continuará a ser totalmente responsável perante o exportador de dados pela execução das obrigações do subcontratante nos termos de tal acordo.

2. O contrato prévio escrito entre o importador de dados e o subcontratante deve prever igualmente uma cláusula do terceiro beneficiário, tal como previsto na cláusula 3, para os casos em que o titular dos dados não puder intentar uma ação de reparação mencionada no número 1 da Cláusula 6 contra o exportador de dados ou o importador de dados por estes terem desaparecido de facto ou terem sido extintos legalmente ou por se terem tornado insolventes e nenhuma entidade sucessora ter assumido a totalidade das obrigações legais do exportador ou do importador de dados, mediante contrato ou por força da lei. Essa responsabilidade perante terceiros do subcontratante estará limitada às suas próprias operações de processamento nos termos das Cláusulas.

3. As disposições relacionadas com os aspetos de proteção de dados para subprocessamento do contrato mencionados no parágrafo 1 reger-se-ão pela lei do Estado-Membro no qual o exportador de dados se encontra estabelecido.

4. O exportador de dados conservará uma lista de acordos de subprocessamento elaborada nos termos das Cláusulas e notificada pelo importador de dados de acordo com a alínea (j) da Cláusula 5, que será atualizada pelo menos uma vez por ano. A lista será disponibilizada à autoridade de supervisão de proteção de dados do exportador de dados.

1. As partes concordam que, após o cancelamento do fornecimento dos presentes serviços de processamento, o importador de dados e o subcontratante restituirão, à discrição do exportador de dados, todos os dados pessoais transferidos, bem como as cópias dos mesmos, para o exportador de dados ou que destruirão todos os dados pessoais e assegurarão ao exportador de dados que tal foi executado, salvo se a legislação aplicável ao importador de dados o impedir de restituir ou de destruir a totalidade ou parte dos dados pessoais transferidos. Nessa eventualidade, o importador de dados garante que assegurará a confidencialidade dos dados pessoais transferidos e que deixará de processar ativamente os dados pessoais transferidos.

2. O importador de dados e o subcontratante garantem que a pedido do exportador de dados e/ou autoridade de supervisão, enviarão as respetivas instalações de processamento de dados para uma auditoria às medidas mencionadas no parágrafo 1.

Informações adicionais necessárias, caso não estejam contidas na declaração de trabalho, devem ser incluídas neste Anexo:

Exportador de dados:
O exportador de dados é a entidade identificada como GoDaddy, um fornecedor do programa para revendedores para importadores de dados para revender certos produtos e serviços da GoDaddy clientes.

Importador de dados:

O importador de dados é um revendedor de produtos e serviços da GoDaddy.

Titulares dos dados

Os titulares dos dados são clientes.

Categorias de dados

Os dados pessoais transferidos respeitam às seguintes categorias de dados:

O Cliente pode enviar dados pessoais aos Serviços, o que pode incluir, nomeadamente, as seguintes categorias de dados pessoais:

• Nome próprio e apelido
• Email
• Número de telefone
• Morada
• Operações de processamento

Os dados pessoais transferidos ficam sujeitos às seguintes atividades básicas de processamento:

O Revendedor processará dados pessoais na medida do necessário para executar os Serviços ao abrigo do Contrato de Revendedor e conforme adicionalmente instruído ao longo da sua utilização dos Serviços.

Medidas de Segurança da Organização e Técnicas

O Importador de Dados deve manter salvaguardas técnicas e administrativas para proteção da segurança, confidencialidade e integridade dos dados dos clientes, incluindo Dados Pessoais, nos termos previstos na presente Adenda relativa ao Processamento de Dados. O Importador de Dados deve monitorizar regularmente o cumprimento destas salvaguardas. O Importador de Dados não diminuirá materialmente a segurança global dos Serviços ou do Programa para Revendedores.